1、网络安全的重要性和迫切性信息科技的迅速发展,Internet 已成为全球重要的信息传播工具。据不完全统计,Internet 现在遍及 186 个国家,容纳近 60 万个网络,提供了包括 600 个大型联网图书馆,400 个联网的学术文献库,2000 种网上杂志,900 种网上新闻报纸,50 多万个 Web 网站在内的多种服务,总共近 100 万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。 作为一种战略资源,信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共
2、享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享。资源共享和信息安全是一对矛盾. 自Internet 问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对 Internet 的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客的攻击为什么屡屡得手呢?其主要有以下几个原因:* 现有网络系统具有内在安全的脆弱性。以下是 Security Focus Bugtraq 所追踪的各操作系统
3、已知存在漏洞统计之比较表 A 列出截至 2001 年为止的已知漏洞。 表 B 列出 2000 年的漏洞 * 对网络的管理思想麻痹,没有重视黑客攻击所造成的严重后果,舍不得投入必要的人力、财力、物力来加强网络安全性。 * 没有采取正确的安全策略和安全机制。 * 缺乏先进的网络安全技术、工具、手段和产品。 * 缺乏先进的系统恢复、备份技术和工具。 鉴于上述原因,为了加强 Internet 信息安全保护,有必要针对目前黑客对 Internet 网站采取的攻击手段制定相应有效的防范措施。我国信息化事业能否顺利发展,一个比较关键的因素便是网络、信息的安全问题,这已成为制约网络发展的首要因素。所以,重视和
4、加快网络安全问题的研究和技术开发具有重要意义。返回网络安全热点技术和产品1 防火墙防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类:包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。应用级防火墙(也称为应用代理防火墙)在最高的应用层提供高级别的安全防护和控制。2 隐患扫描一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测
5、系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可
6、能的,因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。3 入侵检测网络监控与入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵和可疑活动的发生,一旦发现有黑客入侵,系统将做出实时响应和报警。入侵检测模型可以分为两大类:基于网络的入侵检测:通过实时监视网络上的数据流,来寻找具有网络攻击特征的活动。基于主机的入侵检测:通过分析系统的审记数据,检查系统资源的使用情况以及启动的服务等来检测本机是否受到了攻击。对已知攻击的检测:通过分析攻击的原理提取攻击特征,建立攻击特征库,使用模式匹配的方法,来
7、识别攻击。对未知攻击和可疑活动的检测:通过建立统计模型和智能分析模块,来发现新的攻击和可疑活动。返回黑客攻击随着网络的日益发展,网络安全问题日益突出,以下是近几年比较重大的黑客攻击事件:1991 年,美国国会总审计署宣布在海湾战争期间,几个荷兰少年黑客侵入国防部的计算机,修改或复制了一些非保密的与战争相关的敏感情报,包括军事人员、运往海湾的军事装备和重要武器装备开发情况等。1994 年,格里菲斯空军基地和美国航空航天局的电脑网络受到两名黑客的攻击。同年,一名黑客用一个很容易得到的密码发现了英国女王、梅杰首相和其他几位军情五处高官的电话号码,并把这些号码公布在互联网上。1995 年,“世界头号电
8、脑黑客”凯文米特尼克被捕。他被指控闯入许多电脑网络,包括入侵北美空中防务体系、美国国防部,偷窃了 2 万个信用号卡和复制软件。同年,俄罗斯黑客列文在英国被捕。他被指控用笔记本电脑从纽约花旗银行非法转移至少 370 万美元到世界各地由他和他的同党控制的账户。1993 年底,中科院高能所就发现有“黑客”侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。1994 年,美国一位 14 岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。1996 年,高能所再次遭到“黑客”入侵,私自在高能所主机上建立了几十个帐户,经追踪发现是国内某拨号上网的用户。进入 19
9、98 年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地遭到黑客的攻击,8 月,印尼事件激起中国黑客集体入侵印尼网点,造成印尼多个网站瘫痪,但与此同时,中国的部分站点遭到印尼黑客的报复。10 月,福建省图书馆主页被黑客替换。1998 年,美国防部宣称黑客向五角大楼网站发动了“有史以来最大规模、最系统性的攻击行动”,打入了许多政府非保密性的敏感电脑网络,查询并修改了工资报表和人员数据。不久,警方抓获了两名加州少年黑客。三个星期后,美国警方宣布以色列少年黑客“分析家”被抓获。同年,马萨诸塞州伍切斯特机场导航系统因一名少年黑客入侵而中断 6 小时。1999 年 5 月,美国参议院、白宫和美国陆军
10、网络以及数十个政府网站都被黑客攻陷。同时,因北约导弹袭击中国驻南斯拉夫联盟使馆,中国黑客群体出击美国网站以示抗议。2000 年 2 月,在三天时间里,黑客使美国数家顶级互联网站雅虎、亚马逊、电子港湾、CNN 陷入瘫痪。黑客使用了一种称作“拒绝服务式”的攻击手段,即用大量无用信息阻塞网站的服务器,使其不能提供正常服务。同月,日本右翼分子举行集会,企图否认南京大屠杀暴行,引起中国黑客愤慨,中国黑客连番袭击日本网站。 2 月 8 日9 日,中国最大网站新浪网招致黑客长达 18 小时的袭击,其电子邮箱完全陷入瘫痪。 2001 年 2 月 8 日,中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究
11、研被黑,首页页头被加上“这里是信息产业部邮科院的网站,但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位,其网站被黑引起了社会的广泛关注,据称也引起了国家信息的注意。这是 2001年国内第一次有影响的黑客事件。2001 年 4 月 30 日开始中美因撞机事件爆发的互联网黑客大战。中国官方首次出面证实,被攻击的中国网站中有 12%是政府网站。 自 4 月 30 日开始的中美黑客大战至今,福建省已有不少官方网站受害。为此日前,福州市公安局计算机安全监察处提醒各大网站提高警惕。从 4 月 30 日晚开始,一场没有硝烟的“战争”在网络上展开,由中美撞机事件引发的中美网络黑客大
12、战的战火,愈烧愈烈。双方已有超过家政府及民间网站相继被“黑”。在“五一”假期期间,这个数字还在不断持续上升。其中,福建省的一些官方网站也在此列。包括福建外贸信息网在内的多家网站被黑,其中有许多是政府网站,有的网站甚至完全崩溃,造成重大损失。 2001 年,自“五一”长假以来,一场没有硝烟的黑客大战正在互联网上愈演愈烈。当人们从节日氛围走出时,却发现短短的数天时间内,国内已有逾千家网站被黑。其中近半数为政府(.gov)、教育(.edu)及科研(.ac)网站。中国青年报两次被黑,11 月 3 日,北京青年报网站遭到不明黑客袭击。网站被修改为黑色底色,并挂有巴西国旗。11 月 4 日,北京青年报网站
13、再次被黑客攻击。据称,黑客的两次攻击都是善意的,不知道这是北京青年报的自嘲还是黑客们真是善意的,总之,我们再一次发现我们网络的脆弱,不然不知道怎样解释两天的两次善意被黑。2001 年 11 月 1 日,国内网站新浪被一家美国黄色网站攻破,以致沾染“黄污”。网页维护单位已迅速将黄色网站屏蔽。新浪网站搜索引擎提供的 100 多条“留学生回流”相关新闻标题中,标题“中国留学生回流热”的链接被指向一家全英文的美国成人黄色网站,图片极为污秽,不堪入目。2001 年 12 月, 九运会期间信息系统运作获得圆满成功,抵御数十万次黑客攻击,创下全运会史上的五个第一。仅在开幕式当天,就出现了总数达 35 万次的
14、三次袭击高峰,此后平均每天有 35 万次的攻击。网管发现,几乎世界各地都有黑客参与攻击,其中不乏一些“颇负盛名”的俄罗斯、美国黑客。由于采用了防火墙设备,并派人 24 小时监控,九运会网络安然无恙,黑客们只得无功而返。 1 黑客攻击技术介绍目前,黒客攻击技术细分下来共有九类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、利用病毒攻击、木马程序攻击、后门攻击、信息战。下面,我们将对这几种攻击类型逐一进行分析。1.1 入侵系统类攻击这种攻击手法千变万化,可是攻击者的最终目的都是为了获得主机系统的控制权,从而破坏主机和网络系统。这类攻击又分为:信息收集攻击、口令攻击
15、、漏洞攻击信息收集型攻击并不对目标本身造成危害,这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术攻击;体系结构探测攻击;利用信息服务攻击;假消息攻击;网络监听攻击等。黑客还会运用社会工程收集信息。口令攻击是网上攻击最常用的方法,入侵者通过系统常用服务或对网络通信进行监听来搜集帐号,当找到主机上的有效帐号后,就采用字典穷举法进行攻击,或者他们通过各种方法获取 password 文件,然后用口令猜测程序破译用户帐号和密码。利用系统管理策略或配置文件的漏洞,获得比合法权限更高的操作权,如:电子邮件DEBUG、Decode、Pipe、Wiz;FTP 的 CWDroot、Site Exec;
16、IP 碎片攻击、NFS 猜测、NFS Mknod、NFS UID 检查、Rlogin-froot 检查等。利用系统配置疏忽的入侵攻击,如:利用 CGI 脚本权限配置错误的入侵攻击;利用环境变量配置疏忽的入侵攻击;Setuid 漏洞入侵攻击。协议漏洞攻击,如:FTP 协议攻击;服务程序漏洞攻击,如 wu-ftpd 漏洞攻击、IIS 漏洞攻击;CGI 漏洞攻击等。利用 WEB 服务器的不合理配置,或 CGI 程序的漏洞进行攻击,达到获取脚本源码,非法执行程序,使WWW 服务器崩溃等目的。如:对 NT 的 IIS 服务器的多种攻击,对许多免费 CGI 程序(如jj, wwwcounter 等);对
17、asp,java script 程序漏洞的攻击等。1.2 缓冲区溢出攻击通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有 root 权限的内存中,那么一旦这些指令得到了运行,黑客就以 root权限控制了系统,达到入侵的目的。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码(植入法或利用已存在的代码),然后,通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行(如激活纪录、函数指针或长跳转缓冲区等)。1.3 欺骗
18、类攻击TCP/IP 协议本身的一些缺陷可以被利用,使黑客可以对 TCP/IP 网络进行攻击,网络欺骗的技术主要有:HoneyPot 和分布式 HoneyPot、欺骗空间技术等。主要方式有:IP 欺骗;ARP 欺骗;DNS 欺骗;Web 欺骗;电子邮件欺骗;源路由欺骗(通过指定路由,以假冒身份与其它主机进行合法通信、或发送假报文,使受攻击主机出现错误动作;地址欺骗(包括伪造源地址和伪造中间站点)等。以 IP 欺骗攻击为例说明如下,其的实施步骤为:选定目标主机发现主机间的信任模式使被信任主机葬失工作能力TCP 序列号的取样和预测冒充被信任主机进入系统,并留下后门供以后使用。1.4 拒绝服务攻击1.
19、4.1 拒绝服务攻击通过网络,也可使正在使用的计算机出现无响应、死机的现象,这就是拒绝服务攻击,简称 DoS(Denial of Service)。这种攻击行为通过发送一定数量一定序列的报文,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。常见的 DoS 工具有:同步洪流、WinNuke、死亡之 PING、Echl 攻击、ICMP/SMURF、Finger 炸弹、Land攻击、Ping 洪流、Rwhod 、tearDrop、TARGA3 、UDP 攻击、OOB 等。1.4.2 分布式拒绝服务攻击分布式拒绝服务攻击采用了一种比
20、较特别的体系结构,从许多分布的主机同时攻击一个目标,从而导致目标瘫痪,简称 DDoS(Distributed Denial of Service)。攻击步骤如下:探测扫描大量主机以找到可以入侵的脆弱主机入侵有安全漏洞的主机并获取控制权在每台被入侵的主机上安装攻击程序(整个过程都是自动化的,在短时间内即可入侵数千台主机)在控制了足够多的主机之后,从中选择一台作为管理机,安装攻击主程序到指定逻辑状态后,该管理机指挥所有被控制机对目标发起攻击,造成目标机瘫痪。如:Trinoo、TFN、Stacheldraht、TFN2K、Blitznet、Fapi、Shaft、Trank 攻击等。1.5 对防火墙的
21、攻击一般来说,防火墙的抗攻击性很强,可是它也不是不可攻破的。其实,防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷。对防火墙的探测攻击技术有:Firewalking 技术、Hping。绕过防火墙认证的攻击手法有:地址欺骗和 TCP 序号协同攻击、IP 分片攻击、Tcp/Ip 会话劫持、协议隧道攻击、干扰攻击、利用 FTP-pasv 绕过防火墙认证的攻击。直接攻击防火墙系统的常见手法有:CiscoPix 防火墙的安全漏洞: CiscoPIX 防火墙的拒绝服务漏洞、CISCOPIX 防火墙 FTP 漏洞允许非法通过防火墙。1.6 利用病毒攻击病毒是黑客实施网络攻击的有效手段之一,
22、它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。计算机病毒攻击的传播途径有电子邮件、传统的软盘、光盘、BBS、WWW 浏览、FTP 文件下载、新闻组、点对点通信系统和无线通信系统等。1.7 木马程序攻击特洛依木马是一种骗子程序,提供某些功能作为诱饵,背地里干一些鬼事,当目标计算机启动时,木马程序随之启动,然后在某一特定的端口监听,在通过监听端口收到命令后,木马程序根据命令在目标计算机上执行一些操作,如传送或删除文件,窃取口令,重新启动计算机等。常见的特洛伊木
23、马程序有:BO、 Netspy、Netbus 等。1.8 后门攻击后门是指入侵者躲过日志,使自己重返被入侵系统的技术,后门种类很多,常见的有:调试后门、管理后门、恶意后门、Login 后门、Telnet 后门、rhosts +后门、服务后门、文件系统后门、内核后门、Boot 后门、TCP Shell 后门等。1.9 信息战信息战指利用现代信息手段,通过夺取信息优势来达到自己的军事目的,它既包括了攻击对方的认识和信念,也包括了利用信息优势在实际战斗中打败对方。包括:进攻性信息战(如:电子战进攻、计算机网络进攻、截获和利用敌方的信息、军事欺骗、进攻性心理战、物理摧毁、微处理芯片攻击、利用电磁辐射窃
24、取信息、高功率微波武器等)和防御性信息战(如:电子战防卫、计算机通信和网络安全防护、反情报、防御性的军事欺骗及反欺骗、防御性心理战、防物理摧毁、防御性信息武器等)。研究黒客攻击技术的目的在于针对性的防范,只有了解并掌握攻击技术,才能更好的防御攻击,这便如同日常战争一样,正所谓知己知彼方能百战不殆。所以,我们应重视网络攻击技术的研究与探讨。 2 黑客攻击案例下面我们将讨论几个在入侵站点旧事中常使用的技术。我们的意图是使大家了解这些方法从而更好地保护好自己的站点,但是它们也可以被用来攻击别的站点。只有在授权后才能使用,并且只能在指导人员的允许下使用。敬请注意:没有经过授权的话,一定不要随便进行。无
25、论是在自己的公司或是为了一个客户,都要在合法的指导下使用。1.3.2.1 Unicode 字符解码漏洞RJ-iTopTM 漏洞信息漏洞名称 IIS 存在的 Unicode 解析错误漏洞 漏洞编号 651漏洞类别 CGI 攻击测试 风险级别 高风险漏洞描述 IIS 在 Unicode 字符解码的实现中存在一个安全漏洞,导致用户可以远程通过 IIS 执行任意命令解决方案 限制调用 cmd 的权限;Scripts、Msadc 目录删除;下载微软提供的补丁F 查找漏洞选择 RJ-iTopTM 网络隐患扫描仪 CGI 类别中的 651 号子选项可以查找目标机子是否存在 Unicode 字符解码漏洞。F
26、漏洞分析IIS 4.0 和 IIS 5.0 在 Unicode 字符解码的实现中存在一个安全漏洞,导致用户可以远程通过 IIS 执行任意命令。当 IIS 打开文件时,如果该文件名包含 unicode 字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致 IIS 错误的打开或者执行某些 web 根目录以外的文件。F 攻击细节攻击者可以利用这个漏洞来绕过 IIS 的路径检查,去执行或者打开任意的文件。(1) 如果系统包含某个可执行目录,就可能执行任意系统命令。下面的 URL 可能列出当前目录的内容:http:/ip_addr/scripts/%c1%1c/winnt/system32/cmd
27、.exe?/c+dir(2) 利用这个漏洞查看系统文件内容也是可能的:http:/ip_addr /a.asp/%c1%1c/%c1%1c/winnt/win.ini很多站点inetpub下的 scripts 目录删除了,但Program FilesCommon FilesSystem下的 msadc 还在(有msadcs.dll 漏洞)。这时可以如下构造请求:http:/ip/msadc/%c1%1c/%c1%1c/%c1%1c/winnt/system32/cmd.exe?/c+dir+c:F 解决方案 简单解决方案:(1)限制网络用户访问和调用 cmd 的权限。(2)在 Scripts、
28、Msadc 目录没必要使用的情况下,删除该文件夹或者改名。(3)安装 NT 系统时不要使用默认 WINNT 路径,比方说,可以改名为 lucky 或者其他名字。 最好的解决办法:最好的方法当然是下载微软提供的补丁了。可以从如下地址下载补丁: 对于 IIS 4.0 到这里:http:/ 对于 IIS 5.0 到这里:http:/ 1.3.2.2 IIS CGI 文件名二次解码漏洞RJ-iTopTM 漏洞信息漏洞名称 IIS CGI 文件名二次解码漏洞 漏洞编号 819漏洞类别 CGI 攻击测试 风险级别 高风险漏洞描述IIS 在加载可执行 CGI 程序时在进行第二次解码时错误地将已经解码过的 C
29、GI 文件名和 CGI 参数一起进行解码,攻击者可以绕过 IIS 对文件名所作的安全检查可以执行任意系统命令。解决方案 Scripts、Msadc 目录没必要使用的情况下,删除该文件夹或者改名。最好的方法当然是下载微软提 供的补丁了F 查找漏洞选择 RJ-iTopTM 网络隐患扫描仪 CGI 类别中的 819 号子选项可以查找目标机子是否存在 Unicode 字符解码漏洞。F 漏洞分析IIS 在加载可执行 CGI 程序时,会进行两次解码。第一次解码是对 CGI 文件名进行 http 解码,然后判断此文件名是否为可执行文件,例如检查后缀名是否为“.exe“或“.com“ 等等。在文件名检查通过之
30、后,IIS 会再进行第二次解码。正常情况下,应该只对该 CGI 的参数进行解码,然而,IIS 错误地将已经解码过的 CGI文件名和 CGI 参数一起进行解码。这样,CGI 文件名就被错误地解码了两次。 通过精心构造 CGI 文件名,攻击者可以绕过 IIS 对文件名所作的安全检查,例如对“/“ 或“./“ 的检查,在某些条件下,攻击者可以执行任意系统命令。例如,对于这个字符,正常编码后是%5c。这三个字符对应的编码为: % = %25 5 = %35 c = %63 如果要对这三个字符再做一次编码,就可以有多种形式,例如: %255c %35c %35%63 %25%35%63 . 因此,“就可
31、以表示成“%255c“或“%35c“等等形式。 在经过第一次解码之后,变成“%5c“。IIS 会认为这是一个正常的字符串,不会违反安全规则检查。而在第二次被解码之后,就会变成“ 。因此攻击者就可以使用“ 来进行目录遍历,执行 web 目录之外的任意程序。F 攻击细节列出当前目录的内容:http:/ip_addr/scripts/%255c/%255c/%255c/winnt/system32/cmd.exe?/c+dir+d:http:/ip_addr/scripts/%25%35%63/%255c/%35%63/winnt/system32/cmd.exe?/c+dir+e:F 解决方案补丁程序可以在下列地址下载: Microsoft IIS 4.0:http:/ Microsoft IIS 5.0:http:/
